заразился, почистил.. проверьте пж-та)

Printable View

03.09.2008, 16:17
M@xWell

Вложений: 3

заразился, почистил.. проверьте пж-та)

Добрый день.. принес коллега комп домашний, полностью прогнившый от спайверов, червей и прочей гадости (даже тему хотел создать, но проще было все снести к чертям, чем восстанавливать - логи даже в безопасном режиме делал только hijackthis, остальное - ни-ни, антивирус тоже не запускался - кроме AV2009)))
короче тема не о том.. кажется все таки перенес себе чето с флехой, когда бэкапил - хоть и не запускал авторан и т.д..
сразу выдернул сетевой кабель, вручную поудалял очевидную гадость, потом сделал логи (только в безопасном, т.к. нет возможности отключить McAffee - политика:unknw:)..

вот.. потом взял на себя смелость выполнить скрипт,[U] написаный мною же[/U])

[QUOTE]begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
QuarantineFile('C:\WINDOWS\system32\CCM\Cache\C0100257.3.System\workshare-configuration-manager.msi','');
QuarantineFile('C:\WINDOWS\dgksvbpn.dll','');
BC_DeleteFile('C:\Program Files\MSA\MSA.exe');
DeleteFile('C:\WINDOWS\system32\MSA.cpl');
BC_DeleteFile('C:\Documents and Settings\KorolenM\Local Settings\Temporary Internet Files\Content.IE5\2V2XYNC5\test1[1].exe');
BC_DeleteFile('C:\Documents and Settings\KorolenM\Application Data\Adobe\Manager.exe');
BC_DeleteFile('C:\WINDOWS\Installer\242598.msi');
RebootWindows(true);
end.[/QUOTE]

посмотрите, может еще че осталось, чего недоглядел? )

пс: логи выполнял до скрипта..
03.09.2008, 16:24
V_Bond

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\KorolenM\Local Settings\Temporary Internet Files\Content.IE5\2V2XYNC5\test1[1].exe','');
QuarantineFile('C:\WINDOWS\dgksvbpn.dll','');
DelBHO('{4E9EB3F6-B1BE-384A-B382-70D9ADEE73D3}');
DelBHO('{ACEF4ADB-7246-465A-A526-5629020DCCB3}');
DelBHO('{68A5923E-76A7-44CE-9B04-1F6C33F2DEBC}');
QuarantineFile('C:\WINDOWS\gksraemq.dll','');
QuarantineFile('C:\WINDOWS\vanwxemggvd.dll','');
QuarantineFile('C:\WINDOWS\system32\mmx87777.dll','');
QuarantineFile('C:\WINDOWS\System32\Cpl32ver.exe','');
QuarantineFile('C:\Windows\System32\VIE82.exe','');
QuarantineFile('C:\Windows\System32\VIE81.exe','');
DeleteFile('C:\WINDOWS\system32\mmx87777.dll');
DeleteFile('C:\WINDOWS\vanwxemggvd.dll');
DeleteFile('C:\WINDOWS\gksraemq.dll');
DeleteFile('C:\WINDOWS\System32\Cpl32ver.exe');
DeleteFile('C:\WINDOWS\dgksvbpn.dll');
DeleteFile('C:\Documents and Settings\KorolenM\Local Settings\Temporary Internet Files\Content.IE5\2V2XYNC5\test1[1].exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи в нормальном режиме ...
03.09.2008, 17:23
M@xWell

Вложений: 3

вот в нормальном режиме (повторюсь, чтоб камнями не бросали - антивирус не отключен)
03.09.2008, 17:51
V_Bond

пофиксите
[code]
04 - HKLM\..\Run: [Cpl32ver] C:\WINDOWS\System32\Cpl32ver.exe
[/code]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\KorolenM\Application Data\Adobe\Manager.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ...
03.09.2008, 18:14
M@xWell

О_о..хм...просто открыл хайджек, чтоб пофиксить, а там кроме того
O4 - HKLM\..\Run: [Antivirus] C:\Program Files\MSA\MSA.exe
O4 - HKCU\..\Run: [Antivirus] C:\Program Files\MSA\MSA.exe
а еще меня беспокоют
O4 - HKLM\..\Run: [\VIE81.exe] C:\Windows\System32\VIE81.exe
O4 - HKLM\..\Run: [\VIE82.exe] C:\Windows\System32\VIE82.exe
?
03.09.2008, 18:19
Rene-gad

Давайте так:

1. Пуск/Выполнить... набрать [B]msconfig[/B], нажать клавишу [B]ВВОД[/B].
2. В карточке Автозапуск - Все отключить
3. Активируйте AVZPM
4. Перегрузитe систему
5. Сделайте 3 новых лога. Если на 3-м система будет выпадать - начинайте со 2-го.
04.09.2008, 10:17
M@xWell

Вложений: 3

вот новые логи.

ps:предупреждение не будет снято?
04.09.2008, 10:24
Rene-gad

пофиксите
[code]
O3 - Toolbar: gksraemq - {68A5923E-76A7-44CE-9B04-1F6C33F2DEBC} - C:\WINDOWS\gksraemq.dll (file missing)
[/code]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{68A5923E-76A7-44CE-9B04-1F6C33F2DEBC}');
QuarantineFile('C:\WINDOWS\gksraemq.dll','');
DeleteFile('C:\WINDOWS\gksraemq.dll');
ExecuteSysClean;
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ...

[QUOTE=M@xWell;279151]ps:предупреждение не будет снято?[/QUOTE]Посмотрим, как будете себя вести;) Вот например при выполнении логов Антивирус не отключили, программы не позакрывали... А в Правилах это все написано... :>
04.09.2008, 14:09
M@xWell

Вложений: 3

вот логи
[QUOTE]Вот например при выполнении логов Антивирус не отключили, программы не позакрывали... А в Правилах это все написано... :> [/QUOTE]
а я сообщал при создании темы, что антивирус закрыть нет возможности - политика.. я даже начальные логи в безопасном режиме делал именно из-за этого - и прикрепил дополнительный лог (хоть в правилах этого нету, но я знаю, что такой лог делается - специально даже тему искал), а вы его удалили:P.. а в нормальном режиме, даже если под локальным админом зайти (а именно так я делаю логи) служба запускается))
и программы - тоже самое.. разве что вручную выгружать.. правда вот тут стремно - может впн отвалиться..
04.09.2008, 14:38
Rene-gad

Если не знаете, что это-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O15 - Trusted Zone: http://www.ep-partners.co.uk (HKLM)
O15 - Trusted Zone: http://insight.messagelabs.com (HKLM)
[/CODE]
Больше ничего подозрительного.
Сервис Пак 3 установите.
22.02.2009, 07:44
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\korolenm\\application data\\adobe\\manager.exe - [B]Trojan.Win32.Small.xui[/B] (DrWEB: Trojan.DownLoad.4257)[*] c:\\documents and settings\\korolenm\\local settings\\temporary internet files\\content.ie5\\2v2xync5\\test1[1].exe - [B]Trojan.Win32.Small.xui[/B] (DrWEB: Trojan.DownLoad.4257)[*] c:\\windows\\dgksvbpn.dll - [B]Trojan.Win32.Vapsup.kyv[/B] (DrWEB: Trojan.Popuper.7424)[*] c:\\windows\\gksraemq.dll - [B]Trojan.Win32.Vapsup.kyw[/B] (DrWEB: Trojan.Popuper.7421)[*] c:\\windows\\system32\\mmx87777.dll - [B]Trojan.Win32.Vapsup.kyx[/B] (DrWEB: Trojan.Popuper.7423)[*] c:\\windows\\vanwxemggvd.dll - [B]Trojan.Win32.Vapsup.kyy[/B] (DrWEB: Trojan.Popuper.7422)[/LIST][/LIST]